「奇幻熊」（APT28）組織最新攻擊

近日騰訊御見威脅情報中心在監測Fancy Bear「奇幻熊」組織的攻擊活動過程中，發現了其使用的最新攻擊樣本。下文將詳細披露該組織的攻擊手法，和各企業一起共同抵禦此類高級攻擊。

0x1 概況

「奇幻熊」（Fancy Bear，T-APT-12）組織，也被稱作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM，是一個長期從事網路間諜活動並與俄羅斯軍方情報機構相關的APT組織，從該組織的歷史攻擊活動可以看出，獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報道，該組織最早的攻擊活動可以追溯到2004年至2007年期間。

（圖1：攻擊活動時間軸）

騰訊御見威脅情報中心近日檢測到該組織利用英國信息服務提供商IHS Markit公司的郵箱賬號向羅馬尼亞外交部發送釣魚郵件進行定向攻擊。在攻擊技術利用方面，該組織使用了最新的白利用技術，白利用程序為證書管理程序certutil.exe。此外，該組織還使用了最新的後門技術，利用UserInitMprLogonScript註冊表鍵值來實現開機自啟動。本次攻擊中使用的木馬為Carberp銀行木馬的變種，在隱藏網路行為及保護勝利果實方面做出了優化。此前，該組織也曾使用釣魚郵件及Carberp變種木馬對美國政府機構進行攻擊。

（圖2：攻擊流程圖）

0x2 荷載投遞

此次攻擊使用了釣魚郵件進行定向攻擊，誘餌郵件主題為《Upcoming Events February 2018》，郵件附件名Upcoming Events February 2018.xls，郵件內容如下圖所示。當打開郵件附件中的excel表格時，會發現表格中大部分內容為空，同時會彈出「啟用宏」的醒目提示。

（圖3：郵件內容）

（圖4：啟用宏的提示及表格內容為空）

（圖5：啟用宏後，表格內容顯示出來）

一旦點擊「啟用內容」按鈕，電腦就會執行宏代碼。分析宏代碼時，發現代碼被加密保護，破解密碼後，可看到宏代碼的主要功能是從表格中取出加密的pe文件，再利用微軟的簽名程序certutil.exe解密此pe文件，最後再執行此解密的pe文件。

（圖6：分析宏代碼時，彈出輸入密碼的提示）

（圖7：宏代碼，功能解釋）

（圖8：宏代碼，功能解釋）

（圖9：表格中存儲的base64加密的pe文件）

上文表格中存儲的base64加密的pe文件，會被宏代碼存儲為N9A6C5T3.txt文件，之後宏代碼會利用微軟的簽名程序certutil.exe對釋放的N9A6C5T3.txt（文件名隨機生成）文件進行base64解密從而得到木馬exe，解密時命令行為」certutil -decode C:ProgramdataN9A6C5T3.txt C:ProgramdataC3E4U3B1.exe」

（圖10：釋放的文件）

c3e4u3b1.exe執行後會釋放cdnver.dll和cdnver.bat到「C:UsersAdministratorAppDataLocal」目錄，接著會修改UserInitMprLogonScript註冊表的鍵值為「C:UsersAdministratorAppDataLocalcdnver.bat」，從而實現開機自啟動。 修改完註冊表後會利用rundll32.exe 來執行cdnver.dll，命令行為」C:WindowsSystem32
undll32.exe」 「C:UsersAdministratorAppDataLocalcdnver.dll」,#1

（圖11：bat中的內容）

（圖12：修改的註冊表）

0x3 RAT分析

木馬的主要功能都集中在cdnver.dll中，此功能主要包括信息收集、上傳與下載文件、下載與執行pe、截屏等。在此dll的導出函數cdnver_1中會創建一個線程，木馬的主要功能都是從此線程開始。

（圖13：導出函數cdnver_1）

Pe中的關鍵明文字元串同樣使用了簡單的異或演算法加密。

（圖14：字元串解密函數）

木馬運行後會創建名為「vgekW8b1st6yjzPA9fewB70o7KC」 的互斥對象，還會創建名為「SNFIRNW」 的FileMap對象，方便後續進行進程間通信。在讀寫FileMap對象時，會對tag進行驗證，主要tag有0x1234ABCD、0x0DCBA4321、0x98761234、0x43216789

（圖15：創建互斥對象）

（圖16：FileMap對象）

（圖17：進程間通信時驗證tag）

該木馬配置了兩個c2地址，一真一假，第一個c2的域名為」google.com」。第二個c2為「cdnverify.net」，在傳輸數據中途會不斷地切換兩個c2，從而達到隱藏通信的目的。如果通信失敗，還會將自身注入進firefox.exe或iexplore.exe等瀏覽器進程，直接在這些進程里將收集的信息上傳到c2，木馬還會將c2信息加密後存儲在註冊表下HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet SettingsServers的Domain項中。

（圖18：解密出兩個c2）

（圖19：存儲c2）

在通信過程中會讀取firefox的配置文件prefs.js中的「network.proxy.http」和」network.proxy.http_port」欄位來獲取本地代理的地址，進而方便將收集的信息成功傳送出去。

（圖20：從profiles.ini中獲取prefs.js文件的路徑）

（圖21：查找prefs.js中的proxy相關欄位）

注入dll時先使用ZwWriteVirtualMemory等函數將pe文件寫進目標進程，再創建遠線程將注入dll依賴的dll全部載入，最後再創建遠線程開啟進程間通信功能。

（圖22：注入）

在查找待注入的進程時，直接比較的是進程名的hash值，而不是直接的明文字元串。

（圖23：根據進程名hash值進行查找）

該木馬會使用HttpSendRequestA等函數進行網路發包，在發上線包時會將當前所有進程名及計算機截屏等信息上傳。截屏時使用模擬printscreen按鍵進行截屏，再從剪貼板取出圖像數據。

（圖24：發包）

（圖25：截屏）

在進行發包時，會將收集的內容存儲在「disk」、「 build」、「img」、「id」等標籤中，主要標籤如下表所示，之後進行加密後，再隨機生成url後進行post發包。

（圖26：http發包時的明文協議）

（圖27：http發包時的明文協議）

（圖28：發包時使用的相關標籤）

（圖29：抓包數據，url為隨機生成）

木馬使用InternetReadFile函數來接收伺服器下發的指令，解密後再進行解析。指令標籤主要有Execute、Delete、LoadLib、ReadFile、shell、FileName、PathToSave、Rundll、IP等。

（圖30：接收協議）

（圖31：伺服器response中存在的內容）

（圖32：伺服器response中存在的內容）

（圖33：根據伺服器下發的指令創建進程）

0x4 總結

從上文可以看出，此次攻擊未使用主流的offfice漏洞，反而使用了office固有的宏技術，但該組織在誘餌製作、誘餌投遞、勝利果實回收方面，確實下了一番功夫。目前，騰訊御界高級威脅檢測系統基於騰訊反病毒實驗室的安全能力，依託騰訊在雲和端的大數據，形成了強大且獨特的威脅情報和惡意檢測模型，憑藉基於行為的防護和智能模型兩大核心能力，能高效檢測未知威脅，並實時阻攔此類釣魚郵件、惡意宏文檔、證書管理程序白利用等攻擊方式。

附錄（IOCs）

MD5:

56F98E3ED00E48FF9CB89DEA5F6E11C1 (Upcoming Events February 2018.xls)36524C90CA1FAC2102E7653DFADB31B2(C3E4U3B1.exe)4FD196D9ADD7194E27C2591D30E3A90A(cdnver.bat)2361181C5D9A15EC3D5249DE1985B83D(N9A6C5T3.txt)AA2CD9D9FC5D196CAA6F8FD5979E3F14(cdnver.dll)

C2:

cdnverify.net151.80.74.167

Email:

events@ihsmarkit.com(發信郵箱)

註冊表項：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsServers
HKEY_CURRENT_USEREnvironmentUserInitMprLogonScript

*本文作者：騰訊電腦管家，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！